Dictamen N° 15/020 .
CONSEJO EJECUTIVO DE LA UNIDAD REGULADORA Y DE CONTROL DE DATOS PERSONALES
Montevideo, 22 de setiembre de 2020.
VISTO: La consulta presentada por URUTEC S.A. (en adelante URUTEC)
RESULTANDO: I. Que se presenta URUTEC a los efectos de consultar sobre el alcance de la responsabilidad sobre los datos por parte de un proveedor de servicio de alojamiento de servidores. Específicamente, indican en su consulta que la empresa tiene intenciones de trasladar su Datacenter a un espacio a ser arrendado al propietario del espacio físico donde se alojarán éstos, el cual se ubica dentro de territorio nacional.
II. Que el servicio proporcionado por el proveedor se limitará al arrendamiento del espacio físico en el que se alojarán los servidores que tanto la empresa como sus clientes operarán remotamente, y en ningún caso el proveedor tendrá acceso lógico a los datos ya que éstos se encuentran encriptados o protegidos con claves no conocidas por éste.
III. Que en base a ello, consultan si es correcto afirmar que el alojamiento físico de los servidores no debe considerarse como tratamiento de datos a luz de la definición contenida en la Ley N° 18.331, agregando que en caso de serlo URUTEC no conoce las medidas de seguridad adoptadas; por último, solicita ratificar si debe ser quien asuma el rol de encargado de base de datos.
CONSIDERANDO: I. Que conforme con el artículo 4° literal m) el tratamiento de datos se entiende como las “operaciones y procedimientos sistemáticos, de carácter automatizado o no, que permitan el procesamiento de datos personales, así como también su cesión a terceros a través de comunicaciones , consultas, interconexiones o transferencias”. En ese marco, el tratamiento de datos debe realizarse de conformidad con los principios de la protección de datos personales.
II. Que esta Unidad se ha expresado sobre el “hosting” o almacenamiento lógico de la información cuando se trata de situaciones donde se aloje la información en servidores que se encuentran fuera del territorio nacional (Dictamen N° 8/014, de 23 de julio de 2014), indicando que “tanto el servicio como los respaldos deberán ubicarse en países adecuados en materia de protección de datos personales”.
III. Que en el presente caso se aclara que no existe tratamiento de la información porque los servidores son propios de la empresa, y por tanto, se utilizan para brindar servicios propios o a terceros.
IV. Que se comparte la primera conclusión de la empresa en cuanto a que el alojamiento físico de los servidores no se considera tratamiento de datos personales, y por tanto, no se rige por las disposiciones de la Ley N° 18.331, de 11 de agosto de 2008, aunque resulta pertinente que URUTEC firme un acuerdo con el propietario del alojamiento físico a los efectos de determinar los derechos y obligaciones de cada una de las partes.
V. Que cuando URUTEC brinda directamente servicios asume la calidad de responsable en los términos del literal k) del artículo 4° de la Ley N° 18.331, y cuando se utilizan sus servicios para almacenar la información, se trata de un “hosting” donde la empresa se convierte en encargado de tratamiento. En ambos casos deberá adoptar medidas de responsabilidad proactiva.
ATENTO: a lo expuesto
El Consejo Ejecutivo de la Unidad de la Unidad Reguladora y de Control de Datos Personales
DICTAMINA:
1°. Indicar que el alojamiento físico de la información en forma tercerizada no constituye un tratamiento de datos si el propietario del espacio físico no tiene acceso de tipo alguno a la información.
2°. Recomendar que en los casos indicados en el numeral anterior, se suscriba un contrato donde se estipulen los derechos y obligaciones de cada parte.
3°. Indicar que en el caso planteado, URUTEC desarrolla tareas de hosting o almacenamiento de información tanto en calidad de responsable como de encargado de tratamiento, según el destinatario del servicio.
4°. Recomendar la adopción de medidas de responsabilidad proactiva para asegurar el cumplimiento de la normativa de protección de datos personales.
5°. NOTIFÍQUESE Y PUBLÍQUESE
Fdo: Dr. Felipe Rotondo
Consejo Ejecutivo
Unidad Reguladora y de Control de Datos Personales
Expediente: 2020-2-10-0000254